LastPass CEO Karim Toubba sagte letzte Woche, dass Hacker, die im August 2022 auf eine Cloud-basierte Speicherumgebung zugegriffen haben, eine Kopie von Verbraucherdaten erlangt haben, darunter Namen, E-Mail-Adressen, Rechnungsadressen und Telefonnummern. Die Exekutive sagte, dass die Daten ihrer Kunden aufgrund der Nichtverfügbarkeit des Hauptschlüssels sicher bleiben. Einige Cybersicherheitsexperten haben die Aussage des Unternehmens jedoch als „offene Lügen“ bezeichnet.
„Aussage voller Auslassungen“
Laut Sicherheitsforscher Wladimir Palant, ist die „Erklärung des Unternehmens voller Auslassungen, Halbwahrheiten und glatter Lügen“. Palant sagt, dass LastPass versucht, den Vorfall vom August 2022 und das Datenleck als zwei separate Ereignisse darzustellen, aber dies ist eigentlich eine typische Technik (sog. Lateral Movement), die von Bedrohungsakteuren verwendet wird.
„Die korrektere Interpretation der Ereignisse ist also: Wir haben jetzt keine neue Verletzung, LastPass hat es eher versäumt, die Verletzung vom August 2022 einzudämmen. Und aufgrund dieses Versagens sind die Daten der Menschen jetzt weg. Ja, diese Interpretation ist weit weniger günstig für LastPass , weshalb sie wahrscheinlich versuchen, es zu vermeiden“, sagte Palant in einem Blogbeitrag.
LastPass speicherte die IP-Adressen der Benutzer und der Forscher weist darauf hin, dass die kompromittierten Daten „gut genug sein sollten, um ein vollständiges Bewegungsprofil zu erstellen“. Der Forscher merkt auch an, dass LastPass „den Boden dafür bereitet, den Kunden die Schuld zu geben“.
Kahle Lüge, sagt ein anderer Forscher
LastPass behauptet, er habe keine Kenntnis von der Verletzung gehabt, aber Sicherheitsforscher Jeremi Gosney sagt, dass „die Behauptung von ‚null Wissen‘ eine dreiste Lüge ist“. Er stellt fest, dass das Unternehmen „ungefähr so viel Wissen hat, wie ein Passwort-Manager möglicherweise durchkommen kann“.
„Jedes Mal, wenn Sie sich bei einer Website anmelden, wird ein Ereignis generiert und an LastPass gesendet, um zu verfolgen, bei welchen Websites Sie sich anmelden. Sie können die Telemetrie deaktivieren, außer dass das Deaktivieren nichts bewirkt – sie ruft immer noch LastPass an jedes Mal, wenn Sie sich irgendwo authentifizieren“, sagte der Forscher in seinem Beitrag zu Mastodon.
Jeffrey Goldbergein anderer Forscher, sagte, dass die Behauptung von LastPass, dass, wenn Benutzer die Standardeinstellungen befolgt hätten, „Millionen von Jahren dauern würde, um Ihr Master-Passwort mit allgemein verfügbarer Technologie zum Knacken von Passwörtern zu erraten“, höchst irreführend ist.
„Aussage voller Auslassungen“
Laut Sicherheitsforscher Wladimir Palant, ist die „Erklärung des Unternehmens voller Auslassungen, Halbwahrheiten und glatter Lügen“. Palant sagt, dass LastPass versucht, den Vorfall vom August 2022 und das Datenleck als zwei separate Ereignisse darzustellen, aber dies ist eigentlich eine typische Technik (sog. Lateral Movement), die von Bedrohungsakteuren verwendet wird.
„Die korrektere Interpretation der Ereignisse ist also: Wir haben jetzt keine neue Verletzung, LastPass hat es eher versäumt, die Verletzung vom August 2022 einzudämmen. Und aufgrund dieses Versagens sind die Daten der Menschen jetzt weg. Ja, diese Interpretation ist weit weniger günstig für LastPass , weshalb sie wahrscheinlich versuchen, es zu vermeiden“, sagte Palant in einem Blogbeitrag.
LastPass speicherte die IP-Adressen der Benutzer und der Forscher weist darauf hin, dass die kompromittierten Daten „gut genug sein sollten, um ein vollständiges Bewegungsprofil zu erstellen“. Der Forscher merkt auch an, dass LastPass „den Boden dafür bereitet, den Kunden die Schuld zu geben“.
Kahle Lüge, sagt ein anderer Forscher
LastPass behauptet, er habe keine Kenntnis von der Verletzung gehabt, aber Sicherheitsforscher Jeremi Gosney sagt, dass „die Behauptung von ‚null Wissen‘ eine dreiste Lüge ist“. Er stellt fest, dass das Unternehmen „ungefähr so viel Wissen hat, wie ein Passwort-Manager möglicherweise durchkommen kann“.
„Jedes Mal, wenn Sie sich bei einer Website anmelden, wird ein Ereignis generiert und an LastPass gesendet, um zu verfolgen, bei welchen Websites Sie sich anmelden. Sie können die Telemetrie deaktivieren, außer dass das Deaktivieren nichts bewirkt – sie ruft immer noch LastPass an jedes Mal, wenn Sie sich irgendwo authentifizieren“, sagte der Forscher in seinem Beitrag zu Mastodon.
Jeffrey Goldbergein anderer Forscher, sagte, dass die Behauptung von LastPass, dass, wenn Benutzer die Standardeinstellungen befolgt hätten, „Millionen von Jahren dauern würde, um Ihr Master-Passwort mit allgemein verfügbarer Technologie zum Knacken von Passwörtern zu erraten“, höchst irreführend ist.